CVE-2021-32796
Misinterpretation of malicious XML input in xmldom
En resumen
La biblioteca xmldom no escapa correctamente caracteres especiales al remover elementos XML de su estructura padre, lo que puede causar que entrada XML maliciosa se interprete de forma inesperada y altere cómo las aplicaciones dependientes procesan los datos.
Detalle técnico
xmldom ≤0.6.0 no escapa adecuadamente caracteres especiales durante la serialización de nodos XML desvinculados, permitiendo que un atacante cree documentos XML maliciosos que sufran transformaciones sintácticas inesperadas cuando los procesen aplicaciones dependientes; la explotación requiere que la aplicación analice y serialice contenido XML no confiable.
Resumen generado y traducido por IA a partir de la descripción oficial.
xmldom is an open source pure JavaScript W3C standard-based (XML DOM Level 2 Core) DOMParser and XMLSerializer module. xmldom versions 0.6.0 and older do not correctly escape special characters when serializing elements removed from their ancestor. This may lead to unexpected syntactic changes during XML processing in some downstream applications. This issue has been resolved in version 0.7.0. As a workaround downstream applications can validate the input and reject the maliciously crafted documents.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Productos afectados
xmldom · xmldom¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →